28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560). Celem ustawy jest wdrożenie postanowień Dyrektywy Parlamentu Europejskiego i Rady z dnia 6 lipca 2016, w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, zwanej w skrócie Dyrektywą NIS.
Ustawa zakłada stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie wykrywał, zapobiegał i minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju. W skład KSC oprócz administracji rządowej i samorządowej będą wchodziły także największe przedsiębiorstwa z wybranych sektorów tzw. operatorzy kluczowi. Wykaz sektorów oraz rodzaje podmiotów zostały wyszczególnione w Załączniku nr 1 do niniejszej ustawy. Rozwiązania wynikające z ustawy o KSC będą musiały wdrożyć m.in. przedsiębiorstwa z branży:
Warto jednak podkreślić, że nie wszystkie podmioty działające w wyżej wymienionych obszarach będą musiały spełniać wymagania ustawy. O tym, które to będą przedsiębiorstwa zdecydują urzędnicy. Organ właściwy do spraw cyberbezpieczeństwa wyda decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli spełnione zostaną następujące warunki:
Ustawa o krajowym systemie cyberbezpieczeństwa nakłada na operatorów usług kluczowych szereg wymagań. Do najważniejszych z nich zaliczyć należy obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym.
Operatorzy usług kluczowych będą zobowiązani m.in. do szacowania i zarządzania ryzykiem związanym z możliwością wystąpienia incydentów, a także do wdrożenia odpowiednich środków technicznych i organizacyjnych umożliwiających bezpieczne utrzymanie i eksploatację systemu informacyjnego. Ponadto ustawa nakłada na nich obowiązek stałego monitorowania swoich systemów oraz weryfikowania, czy nie dochodzi do żadnych prób ataków sieciowych. Operatorzy usług kluczowych będą musieli także opracować procedury działania w przypadku naruszenia bezpieczeństwa systemu informacyjnego. Do ich obowiązków należeć będzie także zapewnienie obsługi incydentów, czyli wszelkich zdarzeń mogących mieć wpływ na bezpieczeństwo.
Kolejnym istotnym obowiązkiem, jaki ustawa nakłada na przedsiębiorstwa uznane w drodze decyzji administracyjnej za operatora usług kluczowych, jest wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa i przekazanie jej danych w ciągu 14 dni do organu właściwego do spraw cyberbezpieczeństwa.
Operatorzy usług kluczowych będą mieli również obowiązek przeprowadzenia, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyty te będą prowadzone przez odpowiednio akredytowane jednostki lub zespoły doświadczonych audytorów.
Warto podkreślić, że ustawa o krajowym systemie cyberbezpieczeństwa oprócz szeregu obowiązków przewiduje także kary finansowe za ich niespełnienie. Przykładowo, wysokość kary za nieprzeprowadzenie audytu przez operatora usługi kluczowej może wynieść aż do 200 tys. zł.
W spełnieniu tych wymagań mogą pomóc dwa systemy ISO/IEC 27001 oraz ISO 22301.
ISO/IEC 27001 jest międzynarodowo rozpoznawalnym standardem systemu zarządzania bezpieczeństwem informacji, który może mieć zastosowanie we wszystkich organizacjach, dla których informacja stanowi wymierną wartość lub jej ochrona wynika z odpowiednich przepisów prawa.
Norma ISO 22301 (system zarządzania ciągłością biznesu) daje organizacjom dostęp do wymagań, które pozwolą na przygotowanie się do incydentów mogących uniemożliwiać osiągnięcie celów biznesowych. Została ona specjalnie zaprojektowana do zapewnienia ciągłości biznesu nawet podczas najbardziej nieoczekiwanych okoliczności. Organizacje, które mają wdrożony i certyfikowany system ISO 22301, doświadczą wielu takich samych korzyści jak w przypadku wdrożenia i certyfikacji ISO/IEC 27001. Dodatkowo będą również w stanie:
Wybrane obowiązki operatora usługi kluczowej (OUK) | Przykładowe wymagania normy pomagające w ich realizacji | |
Po 3 miesiącach |
|
|
| OUK dokonuje szacowania ryzyka dla swoich usług kluczowych | ISO/IEC 27001: Pkt. 6.1.2 Szacowanie ryzyka w bezpieczeństwie informacji Zgodnie z powyższym wymaganiem normy organizacja powinna opracować i wdrożyć proces szacowania ryzyka w bezpieczeństwie informacji, który:
Dodatkowo organizacja powinna udokumentować informacje o procesie szacowania ryzyka w bezpieczeństwie informacji. Proces szacowania ryzyka powinien być poprzedzony identyfikacją kwestii wewnętrznych oraz zewnętrznych (4.1) oraz identyfikacją potrzeb współpracujących z organizacją zainteresowanych stron (4.2). To podejście pozwala całościowo zrozumieć sposób funkcjonowania organizacji i kontekstu, w jakim działa i funkcjonuje. Pkt. 8.2 Szacowanie ryzyka w bezpieczeństwie informacji Organizacja powinna szacować ryzyko OUK może dokonać szacowania ryzyka dla swoich usług kluczowych zgodnie z międzynarodowo akceptowalnymi wymaganiami. |
| Wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC | ISO/IEC 27001 Pkt 5.3 Role, odpowiedzialność i uprawnienia Zgodnie z tym punktem, najwyższe kierownictwo organizacji powinno zapewnić, aby odpowiedzialność i uprawnienia dla osób pełniących istotną rolę w zapewnieniu bezpieczeństwa informacji zostały przydzielone i zakomunikowane. Najwyższe kierownictwo powinno przydzielić odpowiedzialności i uprawnienia w zakresie:
Osoba kontaktowa z właściwym CSIRT i PPK przy MC może być jednocześnie odpowiedzialna za SZBI. |
| OUK prowadzi działania edukacyjne wobec użytkowników | ISO/IEC 27001 Pkt. 7.2 Kompetencje Zgodnie z ISO/IEC 27001 organizacja powinna:
Pkt. 7.3 Uświadamianie Osoby pracujące pod nadzorem organizacji powinny być świadome:
OUK może spełnić wymaganie ustawy poprzez stosowanie w codziennej działalności procesu utrzymywania i podnoszenia kompetencji oraz budowania świadomości w organizacji zgodnie z wymaganiami przytoczonymi powyżej. |
| OUK zgłasza incydenty poważne | ISO/IEC 27001 Pkt. 7.4 Komunikacja Organizacja powinna określić potrzeby w zakresie komunikacji wewnętrznej i zewnętrznej dotyczącej systemu zarządzania bezpieczeństwem informacji, w tym:
OUK stosując powyższe wymaganie może dokładnie określić sposób komunikowania incydentów poważnych. |
Po 6 miesiącach od momentu otrzymania decyzji administracyjnej uznającej podmiot za operatora usługi kluczowej |
|
|
| OUK wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne | ISO/IEC 27001 Pkt. 6.1.3 Postępowanie z ryzykiem w bezpieczeństwie informacji Zgodnie z powyższym punktem organizacja powinna opracować i wdrożyć proces postepowania z ryzykiem w bezpieczeństwie informacji w celu:
Organizacja powinna zachować udokumentowane informacje o procesie postępowania z ryzykiem. Pkt. 8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji OUK postępując według zapisów tego wymagania z nawiązką spełni wymaganie wynikające wprost z Ustawy. |
| OUK stosuje wymaganą dokumentację | ISO/IEC 27001 Pkt. 7.5 Udokumentowane informacje Zgodność z ISO/IEC 270001 oznacza, że organizacja opracowuje niezbędną dokumentację dotyczącą systemu zarządzania bezpieczeństwem informacji. Zakres dokumentacji uzależniony będzie m.in. od wielkości organizacji lub złożoności procesów. Norma kładzie również nacisk na to, aby tworzona dokumentacja była aktualna, dostępna oraz odpowiednio chroniona. OUK postępując zgodnie z wymaganiami normy zapewni, że stosuje i aktualizuje dokumentację dotyczącą cyberbezbezpieczeństwa systemu informacyjnego. Ponadto spełnienie wymagań normy zagwarantuje właściwy nadzór na dokumentacją oraz jej ochronę przed niewłaściwym użyciem lub utratą integralności. |
| OUK Stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego | ISO 22301 Pkt. 8.4 Ustanowienie i wdrożenie procedur ciągłości działania Organizacja ustanawia, wdraża i utrzymuje procedury ciągłości działania w celu zarządzania incydentem zakłócającym. Procedury w sposób szczegółowy powinny określać kroki oraz zasoby wykorzystywane w czasie zakłócenia. |
Podsumowując, wdrożenie i certyfikacja systemu zarządzania bezpieczeństwem informacji zgodnego z ISO/IEC 27001 oraz systemu zarządzania ciągłością biznesu zgodnego z ISO 22301, pomoże spełnić przedsiębiorcom wymagania ustawa o krajowym systemie cyberbezpieczeństwa oraz minimalizować skutki ataków naruszających bezpieczeństwo informatyczne.
Jeśli są Państwo zainteresowani wdrożeniem i certyfikacją ISO/IEC 27001 i/lub ISO 22301 zapraszamy do kontaktu telefonicznego pod numerem 22 6497664 lub mailowego na adres: isoqar@isoqar.pl